Odido-hack: vragen beantwoord

Hackgroep ShinyHunters heeft inmiddels de gegevens van miljoenen Odido-klanten gepubliceerd, nadat Odido weigerde om losgeld te betalen. Ondertussen communiceert het bedrijf weinig met zijn klanten, waardoor zij met een hoop vragen blijven zitten.

Waarom betaalde Odido niet gewoon?

Een veelgehoorde klacht is waarom Odido niet gewoon het losgeld betaalde, om zo de gegevens van zijn klanten te beschermen. Odido zegt na overleg met experts besloten te hebben om niet te onderhandelen met criminelen en zich niet door hen te laten chanteren. Daarvoor heeft het bedrijf onder andere met de politie gesproken. De politie adviseert bedrijven altijd om geen losgeld te betalen na een cyberaanval: “Wanneer zij worden betaald, blijft hun verdienmodel tenslotte levend.”

Een belangrijk argument om niet te betalen, is dat je nooit zeker weet dat de data daadwerkelijk wordt verwijderd. Hackers kunnen later nog eens aankloppen om extra geld te vragen, of de data alsnog doorverkopen om er dubbel aan te verdienen.

Bij wie ligt de schuld?

Laten we voorop stellen dat de schuld bovenal ligt bij de criminelen die deze data hebben gestolen en vervolgens hebben gepubliceerd. Ook Odido is een slachtoffer in dit verhaal. Hoeveel schuld Odido heeft rond de beveiliging van de gegevens zal moeten blijken uit verder onderzoek. Het is te vroeg om daar concrete uitspraken over te doen.

Wel zijn er tekenen dat Odido nalatig is geweest. Zo meldt de NOS dat het bedrijf meerdere malen werd gewaarschuwd over de hackmethode van Shinyhunters, met het advies om de beveiliging aan te scherpen.

Ook heeft Odido klantgegevens te lang bewaard, waardoor gegevens van mensen die al jaren geen klant meer zijn ook zijn gestolen. In het privacybeleid van Odido staat opgenomen dat klantgegevens niet langer dan twee jaar na het opzeggen van het contract worden bewaard, maar inmiddels is duidelijk dat het bedrijf zich daar niet aan heeft gehouden.

De schuld kan in ieder geval niet in de schoenen van de Odido-medewerker geschoven worden, via wie de hackers toegang hebben gekregen tot de data. Experts rond cyberbeveiliging zijn daar duidelijk in: iedereen kan slachtoffer worden van social engineering en phishing. De vraag die nog wel open ligt is waarom deze medewerker toegang had tot de gegevens van miljoenen klanten.

Ik was geen klant van Odido, maar toch zijn mijn gegevens gestolen. Hoe kan dat?

Odido lijkt een relatief nieuwe naam in de telecommarkt, maar schijn bedriegt. Voor september 2023 heette het bedrijf namelijk nog T-Mobile Nederland. Was je klant bij T-Mobile, dan is er een grote kans dat jouw gegevens ook onderdeel zijn van deze hack. Ook merknamen Ben en Simpel horen bij Odido.

Kan ik zien welke gegevens van mij zijn gelekt?

Hoewel de gegevens van miljoenen klanten nu op het dark web staan, is het strafbaar om dit bestand te downloaden. Zelfs als je het alleen doet om te zien welke gegevens van jou nu op straat liggen.

Wat je wel kunt doen is de website Have I Been Pwned checken of het Nederlandse Check je Hack. Helaas kun je op deze manier alleen controleren of je gegevens zijn gestolen, en niet om welke gegevens het gaat. Je weet dus niet zeker of de hackers enkel je e-mail en telefoonnummer hebben, of bijvoorbeeld ook je BSN en IBAN.

Waarom communiceert Odido zo slecht?

Een veelgehoorde kritiek is dat Odido niet goed genoeg naar zijn klanten communiceert. Odido heeft ervoor gekozen om een informatiepagina op zijn website te plaatsen waarin vragen worden beantwoord. Daarnaast lopen er nog onderzoeken, waardoor het bedrijf beperkt is in wat er kan worden gezegd.

Toch is het begrijpelijk als je als klant meer verwacht dan een enkele e-mail, of in sommige gevallen helemaal geen bericht. De hoeveelheid vragen waar slachtoffers mee achterblijven is een goede indicatie dat Odido beter met zijn klanten kan communiceren.

Heb ik recht op compensatie?

Odido zegt dat een datalek niet automatisch recht op compensatie geeft. Zelfs niet als je nu in phishing trapt en daarvan schade ondervindt, omdat je waarschijnlijk niet kunt bewijzen dat de kwaadwillenden achter deze phishing specifiek de gegevens van de Odido-hack hebben gebruikt.

Het is nu vooral de vraag of Odido aansprakelijk gesteld kan worden. Als uit onderzoek blijkt dat Odido daadwerkelijk nalatig is geweest, dan is er een grotere kans op financiële gevolgen voor het bedrijf. Dit kan echter ook een boete zijn, in plaats van een geldgedrag aan klanten.

Een groot probleem is nu dat de veelgehoorde wens voor een schadevergoeding actief wordt misbruikt door criminelen. Die kunnen contact met je opnemen en geld beloven, maar proberen op deze manier toegang te krijgen tot je bankrekening of je computer. Pas dus goed op, ook met schimmige websites die zich voordoen als een plek om een schadeclaim in te dienen..

Welke acties moet ik ondernemen als ik slachtoffer ben?

